您现在的位置是:首页 > 行业 > 制造 >

云计算谈安全 很傻很天真

2009-01-04 16:45:00作者: 来源:

摘要我常常通过网络深入钻研最新的技术趋势。我希望了解这些新趋势会对我们的生活产生哪些影响,以及在新趋势下我们该如何确保数据安全。...

我常常通过网络深入钻研最新的技术趋势。我希望了解这些新趋势会对我们的生活产生哪些影响,以及在新趋势下我们该如何确保数据安全。在我学习新知识的同时,经常碰到一些缺乏头脑的评论和博客,大多数情况下,我只能耸耸肩掉头就走。但是今天的体验有所不同。

  通过一系列的网站关联点击,我偶然看到了Howard Flomberg在Examiner.com网站上的博客帖子。他说,数十年来他阅读了大量与效用计算相关的内容——对于这点我毫不怀疑。效用计算并不是什么新概念,和长久以来存在于大型机上的虚拟化概念也并不相同。

  但我确实不知道为什么,就像许多人一样,他一直将虚拟化和“云计算”混淆在一起——事实上两者并不相同。当然,虚拟化可以看作云的一部分。但是,云计算可以不包括虚拟化。同样,运行在几个虚拟服务器上也不等同于运行在云的计算基础设施上。云计算主要是通过网络提供信息和应用服务的一种简化的效用工具。虽然虚拟化是云计算的基础——他们却并不是同一个概念。

  Flomberg和许多其他人一样,他似乎认为云计算本身就是安全的。可以肯定地说,并不是这样。在Flomberg准确地描述云计算的一些好处后,他的一些思考发人深省,“借助应用软件和多字节数据库服务器,您可以专注于产品开发。但是该如何保障安全呢?即使中央情报局极其愤怒,也无济于事——他们无法破解它。”

  我估计他是在谈论AES加密。对数据进行加密当然是一个好主意,云计算,甚至远程存储,都是从一台电脑用户端进入的。毫无疑问,数据加密是保障安全的一个重要方面。但对“云”企业来说。这真的仅仅是个开始。以下我列出了几个“什么是安全”的问题:

  首先,如何确保数据的隔离?如果你所在企业需要遵从大量政府和行业法规,在没有隔离的情况下,很难对文件进行加密。此外,你并不希望高价值和低价值的数据混合在一起。是吗?您想要做的就是让数据适当区隔。

  接下来的问题是,你的数据放在哪个国家?这是需要考虑的,许多国家明文规定禁止某些保护类型的数据,以保证该国的物理安全。

  如何才能验证你的云供应商有能力保持数据安全?或者,他们能独立审计其政策和程序?

  云供应商员工和管理人员的技术背景如何?实际上,谁都可能有机会获得您的数据?即使是加密数据,仍然有可能可以遗失,损毁,或者失去访问权限。AES加密又是如何帮助你的?

  你们的业务连续性和灾难恢复计划?怎样防止云数据的泄露?

  如何将您的企业管理,身份认证和访问管理,和以“云”为基础的应用程序和数据结合起来?

  关于云供应商使用企业应用程序代码的基本安全?我认为缓冲区溢出和数据攻击,以及所有面对的以其他应用为基础的挑战,我们仍然没有解决——这会使得“云”蒸发掉。

  这些只是一部分安全挑战。还有一些由此引发出来的问题,是否要将云服务外包,或者是建立一个私人云。

  如果仅仅与云计算相关就忽略IT安全问题,那就相当于说“只要把你的加密就可以高忱无忧了”,这是很天真也很危险的。类似的短视思考,相当于使得Web应用安全的倒退回2000年。从很大程度上说,这样的安全应用会让企业深陷在今天的安全泥潭中。


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们